你的企業(yè)在使用Java平臺嗎?你可知道���,Java平臺很有可能會為病毒�����、木馬大開方便之門�。就如何防范最新的Java平臺漏洞這一話題��,本文為讀者提供了一些參考方案�����。
作為一種得到廣泛應用的編程語言,針對Java平臺的攻擊呈現出逐漸抬頭的跡象��。很多安全研究人員就此提出了自己的方法���,以便用戶保護自己的計算機��,以防范針對Java平臺的攻擊���。安全研究人員希望在甲骨文沒有提供官方補丁的前提下,用戶們能夠通過這些方法降低系統(tǒng)遭到攻擊的風險����。
因噎廢食不可取
未經授權執(zhí)行應用是目前Java平臺上最常出現的漏洞類型。今年9月底���,安全專家AdamGowdiak發(fā)現了存在于Java5�����、Java6以及Java7平臺上的一個漏洞。他表示����,通過此漏洞���,黑客可在超過10億臺裝有Java的Mac和PC機上安裝惡意軟件與病毒。而在此前的8月底����,安全公司FireEye的研究人員也曾宣布發(fā)現了Java平臺的安全漏洞。由于這一漏洞���,用戶只要通過啟用了Java插件的Web瀏覽器訪問網頁���,就會被悄悄地執(zhí)行內嵌在其中的惡意代碼。
甲骨文10月中旬發(fā)布的Java7Update9和Java6Update37升級補丁聲稱修復了一些漏洞�����,但是����,未來是不是還會有新的漏洞被曝光?一旦出現新的漏洞,而又暫時沒有補丁程序去修補���,用戶應該怎么辦?
為了保護系統(tǒng)�����、避免針對安全漏洞的攻擊�����,在大多數情況下�,安全專業(yè)人員都會建議用戶卸載Java,或者至少禁用瀏覽器中的JavaWeb插件����。
美國計算機緊急響應小組(US-CERT)曾經發(fā)布了一份公告,詳細介紹了如何禁用安裝在幾款最流行的瀏覽器中Java插件的具體方法����。
這對于緩解Java新安全漏洞風險無疑是最有效的方法了。不過這種做法頗有些因噎廢食的感覺�����。對于那些依賴Java平臺Web應用程序的企業(yè)而言�����,不可能因為一些安全漏洞就停掉手上運營著的重要業(yè)務。
反病毒軟件廠商Sophos高級安全顧問ChesterWisniewski認為:“大多數消費者也許根本就不需要Java平臺���。但是許多企業(yè)用戶的某些應用確實需要用到Java,比如GoToMeeting和WebEx�����?����!?/p>
分權限訪問很關鍵
安全廠商Qualys的首席技術官WolfgangKandek提出了另一個解決方案�����,該方法的主旨是利用IE瀏覽器中基于區(qū)域(Zone)的安全機制����,以限制網站載入Java應用的權限。
Kandek近日在博文中表示�,用戶們可以首先在互聯(lián)網(InteZone)中禁止使用Java(修改注冊表,將HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InteSettings\Zones\3的鍵值1C00設成0)����,然后允許Java只在信任區(qū)域(TrustedZone)中加入白名單的網站上才能運行。
與此同時,谷歌Chrome和Mozilla火狐(Firefox)的用戶啟用點擊播放(clicktoplay)功能后�,也能得到類似的效果。點擊播放功能默認會阻止基于插件的內容載入����,并要求用戶確認。這項功能同時還設立了白名單功能����。
Chrome一直以來就支持點擊播放功能,我們可以從高級設置界面來啟用��。不過在火狐中��,這項功能仍在不斷改進之中�����,只有在“about:config”界面中將“plugins.click_to_playflag(火狐14及更高版本才有該設置)”切換成“true”��,才能激活該功能�。
反病毒軟件廠商ESET的安全宣傳官StephenCobb認為:“最合適的安全策略是因人而宜的。這既要看對Java平臺的應用程度���,還要看企業(yè)現有的安全狀況��。單獨將某一種策略普適于所有人顯得有些不切實際����。”
